亚太地区

OCLC 致力于提供安全的图书馆服务

在分享馆藏的同时,保护您的数据安全

OCLC ISO 2700 证书

OCLC 深刻明白,成员信息的机密性、完整性和可用性与他们的业务运作和我们自身的成功息息相关。 我们持续地监控和改善我们的各种应用、系统和流程,以满足日益增长的需要并同时应对动态安全威胁带来的挑战,从而能够采用一种多级别的方式来保护关键信息。 OCLC 已通过了 ISO 27001 安全标准,并已注册登记,最好的证明了我们对安全服务不遗余力的努力。

信息安全和企业风险管理

  • 实施了符合 ISO/IEC 27001:2005 标准的信息安全管理体系
  • 注册信息安全专业人员、信息技术审计人员、业务持续规划和灾难恢复领域的全职专家

物理和环境控制

  • 24 小时人工看护
  • 感应卡限制出入
  • 计算设备位于受控的访问区域
  • 对设备及周边进行视频监控
  • 湿度和温度控制
  • 高架地板促进持续的空气流通
  • 地下电源供电
  • 不间断电源供给系统 (UPS)
  • 冗余电源分配设备 (PDU)
  • 提供就地柴油储藏的柴油发电机
  • 整个数据中心安装有多处烟雾和火灾探测传感器
  • 都柏林市服务交付中心(Dublin Service Delivery Center,简称 DSDC)由一套卤代烷 Halon 灭火系统提供保护,灭火剂储备充足且可多路释放
  • 哥伦布市服务交付中心(Columbus Service Delivery Center,简称 CSDC)由杜邦 FM-200 型灭火系统提供保护
  • 还配备有湿式喷水系统为数据中心提供保护
  • DSDC 和 CSDC 均配有大量灭火设备

逻辑访问控制

  • 用户身份识别和访问管理

    * 通过 SSL 3.0/TLS 1.0 协定,使用 Thawte 颁发的全球递升式认证连接到用户数据,确保用户通过浏览器安全地连接到我们的服务

    * 每次交易时,都需通过 SAML 2.0 使用 XML 加密安全声明的方式对个人用户会话进行识别和重新审核

    * 依据使用的具体服务类型而定

运营安全控制

  • 通过不同冗余路由链接接入互联网,路由链接则来自采用不同电信运营商接入点的多个互联网服务供应商
  • 外围防火墙和边缘路由器可阻断未使用的协议
  • 内部防火墙可隔离应用和数据库层之间的通信联系
  • 负载平衡器可为内部通信联系提供代理服务
  • OCLC 使用多种方法以阻止、侦测并根除恶意软件
  • 还会定期举行第三方独立安全评估
  • 每一家数据中心的所有数据都有磁带备份
  • 这些备份都通过安全链接复制到了一个安全的磁带档案馆中
  • 使用年限到期后,磁带会被运出场外,进行安全销毁
  • OCLC 的信息安全部的员 会对来源各异的通知以及内部系统警报进行监控,从而识别和管理威胁

系统开发和维护

  • OCLC 会在发布信息前对所有代码进行测试,查找安全漏洞,并会定期对我们的网络和系统进行漏洞扫描
  • 网络漏洞评估
  • 选择性渗透测试和代码审查
  • 安全控制框架审查和测试

业务持续性和灾难恢复

  • OCLC 服务对各数据中心的磁盘都会执行实时复制,并能在生产数据中心和灾难恢复站点之间实现近实时复制
  • 敏感数据会通过专用链接传输
  • 灾难恢复测试验证了我们的预计恢复时间和客户资料的完整性

事件响应、通知、及修复

  • 有一套事件管理处理程序,对可能影响系统或数据的机密性、完整性和可用性的安全性事件进行管理
  • 信息安全团队会接受科学取证和证据处理方面的培训,以应对安全性事件的发生,包括使用第三方和专有工具。

合规性

  • 第三方只有通过搜查证、法院命令、传票等合法程序,或通过法定豁免或用户同意的方式获取信息。
  • OCLC 坚持推行严格的隐私政策,此举有助于保护用户和赞助人数据。

OCLC 的服务达到或超过了 Gartner Group 的建议标准 1 (表 1.)和云安全联盟 (Cloud Security Alliance) 的《云计算关键领域安全指南》("Security Guidance for Critical Areas of Focus in Cloud Computing")。

表 1.Gartner: 云计算中的七大安全风险
Gartner 推荐 OCLC 微软

云 (BPOS)
谷歌应用

企业版
特权用户的访问权限 X X X
法规遵从 X X X
数据的存储位置 X X X(未披露)
数据隔离 X X X
数据恢复 X X X
调查方面的支持 X X X
长期生存能力 X X X

1 Jay Heiser and Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 2008 年 6 月 3 日